BSI-Leitfaden gegen Implementierungswildwuchs

Das Zauberwort dabei lautet: Verschlüsseln Sie den Datenverkehr! Denn IP-Telefonie, auch Voice over IP genannt, stellt inzwischen eine ernst zu nehmende Alternative für den Bereich der Telefonie in internen Datennetzen (LAN oder WAN) oder über das öffentliche Internet dar. Neben den aus der herkömmlichen Telefonie bekannten Gefährdungen treten jedoch zahlreiche neue Risiken auf, da bei der IP-Telefonie auch alle aus der IP-Welt bekannten Schwachstellen einzubeziehen sind.

Die zunehmende Verbreitung, aber auch die damit einher gehenden Sicherheitsrisiken, nahm in Deutschland jedenfalls das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn zum Anlass, die bisher ausgesprochenen Empfehlungen noch einmal zu überarbeiten, beziehungsweise diese zu aktualisieren.

Denn das letzte Regelwerk wurde nämlich bereits im Jahr 2005 erstellt und bedurfte somit der Erweiterung. Soweit erst einmal die graue Theorie. Denn die prinzipiellen Schwachstellen bleiben natürlich seit Jahren dieselben. Die immer wieder gebetsmühlenartig vorgetragenen Hinweise, Voice over IP im Unternehmen umsichtig und schrittweise einzuführen, verpuffen allerdings angesichts des vielerorts vorherrschenden Implementierungswildwuchses oftmals im Nirwana.

Dem versucht das BSI durch die aktualisierten Empfehlungen jetzt weiter entgegen zu wirken. Allerdings soll es laut der Behörde erst im kommenden Jahr eine verbindliche BSI-Leitlinie bzw. Studie (ISi-S) zum speziellen Themenkreis VoIP geben. Demzufolge kommen die Verantwortlichen im Unternehmen nach wie vor nicht darum herum, sich aus verschiedenen Quellen die relevanten Informationen zusammen zu suchen und diese selbst zu bewerten.

Wer sich eingehender mit dem Thema beschäftigen möchte, sollte dazu beispielsweise einen Blick in den Baustein 4.7 "VoIP" aus den IT-Grundschutzkatalogen riskieren. Schnell wird dann klar, dass dem Thema zahlreiche Risiken und Nebenwirkungen anheften, denn da sowohl Sprach- als auch sonstige Daten über das Netzwerk laufen, wäre ein Ausfall oder Missbrauch doppelt fatal.

Der Datenverkehr erfolge bei Standardanwendungen in der Regel über unverschlüsselte Kanäle, stellen die Experten vom BSI in ihrem aktualisierten Lagebild fest. Dass professionelle Eindringlinge oftmals dadurch leichtes Spiel hätten, zeige sich an weit verbreiteten Angriffswerkzeugen zum Mitlesen und Mithören des Datenverkehrs, wie das häufig genutzte Sniffing-Programm Ethereal. Für dieses sind mittlerweile sogar Plugins zum Auswerten der Signalisierung verfügbar, was immerhin den ganzen Datenverkehr offen legen kann. Wirtschaftsspionage wäre damit ein Kinderspiel.

Vor der Implementierung nachdenken

Sichere Komponenten erhöhten jedoch die Sicherheit des Gesamtsystems, bilanzieren die Experten vom BSI. Dies beginne bei Standard-Sicherheitsmaßnahmen auf unteren Schichten für Server und Clients. Minimale, gehärtete Systeme und aktuelle Patches sind unverzichtbar. Hinzu kommt der Schutz vor physikalischem Zugriff auf die Netzkomponenten und die Absicherung gegen Strom- und Geräteausfall.

Relevante Komponenten gilt es durch unterbrechungsfreie Stromversorgung (USV) zu sichern. Außerdem sollten die Endgeräte über Power-over-Ethernet (PoE) versorgt sein, da individuelle Steckernetzteile von IP-Telefonen häufig zu Fehlerquellen für Ausfälle oder sogar Bränden werden können. Dabei sollten die Spezialisten auf redundante Auslegung der Middleware-Komponenten achten.

Gegen allzu wissbegierige Hacker schützt jedoch nur eine starke Authentifizierung, etwa auf Basis von Zertifikaten. Das BSI rät außerdem dazu, die Switch-Funktionalität der VoIP-Endgeräte zu deaktivieren, da integrierte Mini-Switches sich nicht ausreichend sicher konfigurieren ließen. Nachteil: Pro Arbeitsplatz benötigt das Unternehmen in diesem Fall zwei Ports bzw. zwei getrennte Kabel.

Bei der Anschaffung von Komponenten sollten nur Produkte in die Auswahl gelangen, die einen verschlüsselten Remote-Zugang und Protokolle für die Administration bieten. Die weiter vertieften Empfehlungen vom BSI richten sich auch auf spezifische Mechanismen wie das Zusammenspiel von Sicherheits-Gateway und IP-Telefonie sowie Aspekte der Qualität und Verfügbarkeit. Abschließend spricht die Behörde noch Empfehlungen zum Schutz der Signalisierungsdaten aus.

Fazit

Wer sich alle Empfehlungen vom BSI gründlich durch liest und danach strebt diese zu befolgen, dem könnte schon die Lust und der Spieltrieb an der interaktiven Internet-Telefonie abhanden kommen. Andererseits sind vitale Geschäftsrisiken zu berücksichtigen, die durch schlampig implementierte Technik nicht in ihrer Substanz bedroht sein dürfen.

Um eine maß geschneiderte individuelle Strategie kommen Unternehmen dennoch kaum herum. Oftmals ist guter Rat - etwa seitens externer Dienstleister, deren Know-how und Erfahrungsschatz es kritisch hinterfragen gilt - ziemlich teuer. Auch hier gilt deshalb das Credo, vorher nachdenken lohnt sich!

Denn wie im richtigen Leben, kann die nachträgliche Beseitigung von Störfaktoren und Sicherheitsrisiken das Unternehmen teuer zu stehen. Leider ist man gerade bei der Internettelefonie erst hinterher oft schlauer - auch das ist eine Lektion wie im richtigen Leben. Deshalb gilt es auch von Fehlern, die andere Unternehmen bereits gemacht haben, intensiv zu lernen.